Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 971888

Update voor afkapping van DNS

Gepubliceerd: dinsdag 9 juni 2009

Versie: 1.0

Microsoft kondigt de beschikbaarheid van een update voor het afkappen van DNS aan, waarmee klanten ervoor kunnen zorgen dat hun systemen veilig blijven. Klanten wier domeinnaam drie of meer labels heeft, zoals "contoso.co.us", die geen lijst met DNS-achtervoegsels hebben opgegeven of voor wie de volgende beperkende factoren niet gelden, kunnen zonder het te weten het mogelijk maken dat systemen van buiten de organisatie door clientsystemen als systemen van binnen de organisatie worden gezien.

Beperkende factoren:

  • Klanten die zich hebben aangemeld bij een domein en een zoeklijst met DNS-achtervoegsels op hun systeem hebben ingesteld, lopen niet het risico dat externe systemen worden aangezien voor interne systemen. Microsoft moedigt alle zakelijke klanten aan zoeklijsten met DNS-achtervoegsels op clientsystemen in te stellen teneinde ervoor te zorgen dat alle DNS-query's binnen de organisatie blijven.
  • In de meeste gevallen gebruiken thuisgebruikers die geen lid van een domein zijn, geen DNS-afkapping en lopen deze gebruikers wat dit betreft geen enkel risico. Thuisgebruikers die geen lid van een domein zijn, maar wel een primair DNS-achtervoegsel hebben opgegeven, gebruiken echter geen DNS-afkapping en lopen wel het risico dat externe systemen als interne systemen worden gezien.
  • Klanten van wie de DNS-domeinnaam uit twee labels bestaat, lopen geen risico. Een voorbeeld van een klant die geen last van het beveiligingslek heeft, is contoso.com of fabrikam.gov, waar 'contoso' en 'fabrikam' klantgeregistreerde domeinnamen onder hun respectieve topniveaudomeinen '.com' en '. gov' zijn.

Algemene informatie

Wat is de omvang van het advies?
In dit advies wordt aangegeven dat er updates beschikbaar zijn die de grenzen van de organisatie helpen aangeven voor systemen die wel zijn toegevoegd aan een domein maar waarvoor geen lijst met DNS- achtervoegsels is gedefinieerd. Er zijn updates beschikbaar voor de software uit de sectie Overzicht.

Wat is een topniveaudomein?
Het topniveaudomein is het laatste gedeelte van een internetdomeinnaam. Dat zijn de letters na de laatste punt in een domeinnaam. In bijvoorbeeld de domeinnaam wpad.western.corp.contoso.co.us is 'us' het topniveaudomein. Topniveaudomeinen kunnen twee verschillende typen domein zijn: landcode en algemeen. Een topniveaudomein van het type 'landcode' is de afkorting (twee letters) van een land. In dit voorbeeld dus 'us' voor de Verenigde Staten. Een topniveaudomein van het type 'algemeen' is de afkorting van drie of meer letters, zoals .com, .net, .org, enzovoort. Zie de lijst met alle beschikbare topniveaudomeinen op IANA.

Wat is een primair DNS-achtervoegsel?
Dit is de domeinnaam die rechts van de hostnaam met een enkel label van een computer wordt toegevoegd. Een fully qualified domain name (FQDN)) kan worden gedefinieerd als <hostnaam>.<primair DNS-achtervoegsel>. Standaard is de fully qualified domain name van het primaire DNS-achtervoegsel van een computer gelijk aan de naam van het Active Directory-domein waarbij de computer is aangemeld. Het primaire DNS-achtervoegsel van een computer kan echter verschillen van het DNS-domein waarbij die computer is aangemeld, wanneer dat achtervoegsel in het dialoogvenster Eigenschappen van Deze computer is gedefinieerd

Wat is een tweede-niveaudomein?
Een tweede-niveaudomein is het domein direct 'onder' of links van het topniveaudomein. In het vorige voorbeeld met wpad.western.corp.contoso.co.us is '.co' het tweede-niveaudomein. De meest voorkomende registratie van tweede-niveaudomeinen is onder het topniveaudomein van het type 'landcode'. In de Verenigde Staten wordt hoofdzakelijk het tweede-niveaudomein voor de registratie van de staten gebruikt, zoals '.co.us' voor de staat Colorado. Bij tweede-niveaudomeinen die niet in de Verenigde Staten worden gebruikt, worden vaak algemene namen van topniveaudomeinen zoals '.com.sg' gebruikt.

Wat doet de functie voor DNS-afkapping?
Afkapping is een functie van de Windows DNS-client. Afkapping is het proces waarmee Windows DNS-clients DNS-query's voor niet-gekwalificeerde hostnamen met één label omzetten. Query's worden samengesteld door een primair DNS-achtervoegsel aan de hostnaam toe te voegen. De query wordt opnieuw uitgevoerd door systematisch het meest linkse label van het primaire DNS-achtervoegsel te verwijderen totdat de hostnaam plus de overblijvende primaire DNS-achtervoegsels worden omgezet of totdat er niet meer dan twee labels in het primaire DNS-achtervoegsel over zijn. Windows-clients die bijvoorbeeld een enkel label in het domein western.corp.contoso.co.us domein opzoeken, zullen progressief de query Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us en tot slot Single-label.co.us uitvoeren totdat er een systeem wordt gevonden dat omzet. Dit proces wordt 'afkapping' genoemd. Zie Name Resolution for Single-Label, Unqualified Domain Names in het TechNet-artikel TCP/IP Fundamentals for Microsoft Windows, Chapter 9 - Windows Support for DNS voor aanvullende informatie over de DNS-clientservice en -afkapping.

Waardoor wordt het probleem veroorzaakt?
Een kwaadwillende gebruiker kan een systeem buiten een organisatie voorzien van een naam met één label. Dankzij DNS-afkapping kan die gebruiker een DNS-client verbinding laten maken met het netwerk van die organisatie, waardoor het lijkt alsof die client een client van dat bedrijf is. Als het DNS-achtervoegsel van een organisatie bijvoorbeeld corp.contoso.co.us is en er wordt geprobeerd een niet-gekwalificeerde hostnaam 'Single-label' om te zetten, wordt door de DNS-omzetter Single-Label.corp.contoso.co.us. geprobeerd. Als die hostnaam niet wordt gevonden, wordt vervolgens via DNS-afkapping geprobeerd wpad.contoso.co.us om te zetten. Wordt die hostnaam ook niet gevonden, dan wordt geprobeerd wpad.co.us om te zetten, die echter buiten het domein contoso.co.us valt.

Wat zijn de gevolgen voor query's die buiten de grenzen van de organisatie worden uitgevoerd?
Dat verschilt per query die buiten de grenzen van een organisatie wordt uitgevoerd.

Alle query's maken doorgaans de interne IP-adressen bekend. Netwerkclients kunnen referenties met de schadelijke server uitwisselen. Als de query voor een WPAD-server is bedoeld, kan er een schadelijke proxy op de clientmachines worden ingesteld.

Verandert deze updates iets aan de werking van DNS-afkapping op mijn systemen?
Ja. De update stelt het domein van de Windows-client vast en beperkt vervolgens de DNS-query's tot dat domein. Zie Microsoft Knowledge Base-artikel 957579 voor meer informatie over en voorbeelden van de wijziging in de werking van DNS-afkapping.

Verandert er na installatie van deze update iets voor de gebruiker?
Ja. Nadat de update is geïnstalleerd, kapt de DNS-omzetter alleen af op het niveau dat door de domeininstellingen van de Windows-client wordt bepaald, en onderbreekt daarbij mogelijk alle toepassingen of configuraties die gebruikmaken van deze werking. Zie Microsoft Knowledge Base-artikel 957579 voor meer informatie over de wijziging in de werking van DNS-afkapping.

Dit is een beveiligingsadvies over een update die geen beveiligingsupdate is. Is dat geen tegenstrijdigheid?
In beveiligingsadviezen worden wijzigingen in de beveiliging besproken waarvoor waarschijnlijk geen beveiligingsbulletin nodig is, maar die wel van invloed zijn op de beveiliging van computers. Via beveiligingsadviezen geeft Microsoft haar klanten informatie over problemen die doorgaans geen beveiligingslekken zijn en waarvoor naar alle waarschijnlijkheid geen beveiligingsbulletin nodig is, of informatie over problemen waarvoor geen beveiligingsbulletin is uitgegeven. In dit geval wordt gemeld dat er een update is die problemen met het uitvoeren van volgende updates waaronder beveiligingsupdates verhelpt. Daarom wordt in dit advies geen specifiek beveiligingsprobleem besproken, maar wordt alleen aandacht besteed aan de algehele beveiliging van uw computer.

Hoe wordt deze update aangeboden?
Deze beveiligingsupdates zijn verkrijgbaar via het Microsoft Downloadcentrum. In de sectie Overzicht staan directe koppelingen naar de updates voor bepaalde software in de tabel Software waarin dit probleem optreedt. Zie Microsoft Knowledge Base-artikel 957579 voor meer informatie over de update en de gevolgen voor de werking van de functie.

Wordt deze update via Automatische updates aangeboden?
Nee. Deze updates worden niet via de Automatische updates aangeboden, maar kunnen alleen worden gedownload via het Microsoft Downloadcentrum. In de sectie Overzicht staan directe koppelingen naar de updates voor bepaalde software in de tabel Software waarin dit probleem optreedt.

Waarom is dit geen beveiligingsupdate die in een beveiligingsbulletin wordt aangekondigd?
Dit is een configuratieprobleem. DNS-afkapping werkt zoals bedoeld. Sommige klanten kunnen DNS-afkapping gebruiken om legitiem toegang tot systemen buiten hun organisatie te krijgen en die systemen als interne systemen te gebruiken.

Waarom wordt deze update in een beveiligingsadvies aangeboden?
Klanten weten niet altijd dat afkapping door Windows-clients in hun omgeving wordt gebruikt. Door afkapping kunnen clients systemen van buiten de organisaties als eigen systemen gaan zien, met als gevolg dat referenties kunnen worden uitgewisseld of clients beveiligingslekken krijgen waardoor onbevoegden informatie kunnen opvragen.

Tijdelijke oplossingen

Microsoft heeft een aantal methoden getest om het probleem te omzeilen. De problemen worden er niet door verholpen, maar bekende aanvalsvectoren kunnen ermee worden geblokkeerd. Wanneer de functionaliteit wordt beperkt door een oplossing, wordt dat aangegeven in het volgende gedeelte.

DNS-afkapping uitschakelen

U schakelt automatisch de DNS-afkapping uit door een bestand met de extensie REG op te slaan en vervolgens regedit.exe /s <bestandsnaam> vanaf een opdrachtprompt met verhoogde bevoegdheden of een administratieve opdrachtprompt uit te voeren:

Opmerking Zie UseDomainNameDevolution voor meer informatie over de registerwaarde UseDomainNameDevolution.

Windows Register-editor versie 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"UseDomainNameDevolution"=dword:00000000

U moet de DNS-clientservice stoppen en opnieuw starten om de wijzigingen van kracht te laten worden. U kunt dit met de volgende opdracht vanaf een opdrachtprompt met verhoogde bevoegdheden of een administratieve opdrachtprompt doen:

net stop dnscache & net start dnscache

Gevolgen van de tijdelijke oplossing: De DNS-resolver zal geen afkapping uitvoeren en daardoor mogelijk toepassingen of configuraties onderbreken die van dit gedrag afhankelijk zijn. Toepassingen die hun eigen vorm van afkapping uitvoeren, zijn niet ontvankelijk voor deze instelling.

Een lijst met domeinachtervoegsels configureren

U maakt een lijst met domeinachtervoegsels door een bestand met de extensie REG op te slaan en vervolgens regedit.exe /s <bestandsnaam> vanaf een opdrachtprompt met verhoogde bevoegdheden of een administratieve opdrachtprompt uit te voeren:

Windows Register-editor versie 5.00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"SearchList"=<domeinspecifieke zoeklijst>

Opmerking Windows Server 2003 bevat een functie voor het via Groepsbeleid distribueren van de lijst met domeinachtervoegsels. Zie Microsoft Knowledge Base-artikel 294785 in de sectie Lijst met domeinachtervoegsels voor meer informatie.

Gevolgen van de tijdelijke oplossing: Wanneer er een lijst met domeinachtervoegsels op clientsystemen is ingesteld, wordt alleen die lijst bij DNS-query's gebruikt. Het primaire DNS-achtervoegsel en verbindingsspecifieke DNS-achtervoegsels worden niet gebruikt. De DNS-resolver zal geen afkapping uitvoeren en daardoor mogelijk toepassingen of configuraties onderbreken die van dit gedrag afhankelijk zijn.

Overige informatie

Informatiebronnen:

Uitsluiting van aansprakelijkheid:

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies:

  • V1.0 (9 juni 2009): Advies gepubliceerd.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft